今天有个小伙伴突然问我什么是三级保险。官网也有很多人咨询客服,问什么是三级保险。是不是很多小伙伴都有同样的疑惑,尤其是作为传统领域或者小企业的开发者?

企业如果想要了解等保具体费用多少?可以先通过报价工具测算大概费用,可查看“纯测评”一站式全包费用:

等保价格计算器:https://offer.cloudallonline.com/?sh

打开网易新闻 查看精彩图片

很多人都听说过“三级保险”的概念,但就是不知道具体是什么。在了解三级保险之前,我们应该知道什么是等级保护。我在这里找到了一些信息,给不知道或者不太了解的朋友简单介绍一下。

等级保护是指对国家关键信息、法人等组织及其公民专有信息及其公开信息的信息系统进行安全保护,对信息系统中常用的信息安全产品进行分级管理,对信息系统中发生的信息安全事件进行分级回应和处理。

我国实行网络安全等级保护制度。等级保护目标分为五个等级,从一级到五级逐渐上升。每个等级的规定都不一样。等级越大,要求越严格。

一级,独立维护级:信息系统受损后,会对公民、法人等组织的合法权利造成伤害,但不会损害国防安全、公共秩序和集体利益;一般适用于小型私营企业、个体企业、中小学、城市信息系统、县级单位的一般信息系统。

二是指导保护级:信息系统受损后,会严重影响公民、法人等组织的合法权利,或者危害公共秩序和集体利益,但不会损害国防安全;一般适用于县级其他企业的重要信息系统;市级以上国家机关、企事业单位内部的一般信息系统。例如,办公系统和管理系统,不涉及工作秘密、商业秘密和敏感信息。

第三级,监管维护级:信息系统受损后,会严重影响公共秩序和集体利益,或者对国防安全造成危害;一般适用于涉及工作秘密、商业秘密、敏感信息的市级以上国家机关、公司、事业单位重要信息系统的办公系统和管理系统;生产、调度、管理、指挥、工作、操作等关键信息系统及其系统在省市的支系统。跨省或全国联网运行;中央各部委、省(区、市)门户网和关键网站;跨省连接的网络系统等。

第四级,强制维护级:信息系统受损后,会对公共秩序和集体利益产生特别严重的影响,或者对国防安全产生严重的影响;一般适用于中国关键行业和单位中非常重要的系统和核心系统。例如,涉及国防安全和国计民生的核心系统,如电力、电信、广电、铁路、民航、银行、税务等。,单位生产、调度、指挥等。

第五级,专门控制维护级别:信息系统受损后,会对国防安全造成特别严重的影响。一般适用于中国关键行业和单位中极其重要的系统。

就具体情况而言,最常见的是二级信息系统和三级信息系统。

三级保险是指信息系统定级备案后确定为三级信息系统,需要做三级保险。在中国,“三级保险”是对非银行机构的最高维护认证。一般分级为三级保险的系统包括互联网医院平台、P2P金融平台、网络汽车软件、云(服务提供商)平台等关键系统。本认证由公安机关根据国家信息安全保护规章和相关制度规定,按照管理规范和标准规范,对各机构信息系统安全等级保护情况进行认可和评估。一般我们生活中接触较多的三级医院

根据《信息系统安全等级保护基本要求》,三级保险的评估内容包括五个方面的等级保护安全技术标准和五个方面的安全管理要求,包括近300个要求,包括隐私保护、安全审计和通信保密,涉及评估分类73类。根据“三级保险”认证,说明公司的信息安全管理能力达到了国内最高标准。

如何根据三级保证认证?根据《网络安全法》第二十一条:“国家实行网络安全等级保护制度,网络运营商应当按照网络安全等级保护制度的要求,确保网络免受影响、破坏或者未经授权浏览,防止网络数据泄露或者被盗或者篡改。”公司获得三级保险的实际程序包括五个阶段:分级、备案、安全建设和整改、信息安全等级评估和信息安全检查。获得三级保险认证后,平台应按照《网络信息中介业务活动管理办法》的要求,对相关火灾进行审查和防范围。

三级等保的技术要求

技术标准包括五个领域:物理、网络、主机、应用和数据。

1、物理安全:机房应区域规划至少分为主机房和监控区;机房应配备电子门禁系统、防盗报警系统和监控系统;机房不应该有窗户,而应该配备特殊的气体灭火和备用发电机;

2、网络安全:应制作符合当前运行条件的拓扑图;交换机、防火墙等设备的配置应符合要求。例如,Vlan应该被划分,Vlan应该被逻辑隔离。应配备Qos流量控制方法,应配备访问控制策略,关键网络设备和服务器应与IP/MAC相关联;应配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份识别系统应符合保险要求,如复杂的用户名和密码对策、登录和浏览失败解决系统、用户角色和权限管理等。网络链接、关键网络设备和安全需求

3、主机安全:云服务器本身应符合身份识别系统、密钥管理系统、安全审计系统、病毒预防等要求。必要时,购买第三方主机和数据库审计设备;服务器(应用和数据库服务器)应该是冗余的,比如双机热备或者集群部署;服务器和关键网络设备在发布时必须扫描和评估漏洞,不得有中间件漏洞、数据库软件漏洞、其他系统和端口漏洞等高级漏洞。).;应该配备专门的日志服务器来存储主机和数据库的审计日志。

4、应用安全:使用自身功能应符合身份识别系统、审计日志、通信和存储加密等保险要求;应注意安排网页防篡改设备;使用安全评估(包括使用安全扫描、渗透测试和风险评估)不应有高级风险以上漏洞(如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、后台管理漏洞等)。).;该软件系统生成的日志应该存储在特殊的日志服务器中。

5、数据安全:本地备份系统应提供数据,每天备份到本地,并存储在场外;如果系统内存中有关键数据,需要提供外来数据备份功能,将数据通过网络传输到其他地方进行备份;三级等保管理制度规定安全制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。